华南地区:18028799418
华中地区:18028792934
华北地区:18165720910
华东地区:18028793024
深圳总部:400-005-1068
- 关于我们
- 体系认证
Amfori-BSCI认证 SEDEX/SMETA认证
ICTI认证 RBA(原EICC)认证 WCA认证 WRAP认证 SA8000认证 CVS认证 CSR认证 ICS认证 GRS认证 BRC认证 SLCP认证 TAPA认证 FSC森林认证 GOTS认证 GMPC认证 GMP认证 SQP认证 IATF16949认证 QC080000认证 SCAN反恐 C-TPAT反恐 GSV认证 ISO9001认证 ISO14001认证 OHSAS8001认证 ISO13485认证 ISO27001认证 ISO45001认证 更多 - 客户验厂
- 最新资讯
- 行业案例
欢迎莅临!权威验厂,首选潜龙
潜龙验厂咨询网——专业综合验厂资讯门户
-
IETP认证申请和证书的不同状态
-
热烈祝贺广州市***印刷有限公司,于2022年1月14日顺利通过SMETA-4P认证审核
-
热烈祝贺东莞市***实业有限公司,于2022年1月13日顺利通过Dollar Tree认证审核
-
热烈祝贺深圳***文化创意产业有限公司,于2022年1月14日顺利通过ISO9001认证审核
-
热烈祝贺广东***科技有限公司,于2022年1月12日顺利通过Office Depot社会任责验厂审核
-
热烈祝贺***文化用品(深圳)有限公司,于2022年1月10日顺利通过DISNEY验厂审核
-
热烈祝贺重庆***动力机械有限公司,于2022年1月10日顺利通过SMETA-4P认证审核
-
热烈祝贺江门***食品加工仓储有限公司,于2022年1月7日顺利通过SMETA-4P认证审核
-
热烈祝贺***电器(深圳)有限公司,于2022年1月7日顺利通过BSCI认证审核
-
热烈祝贺越南***机电有限公司,于2021年12月31日顺利通过Costco-反恐验厂审核
-
热烈祝贺越南***机电有限公司,于2021年12月31日顺利通过Costco-人权验厂审核
-
热烈祝贺深圳***文化创意产业有限公司,于2021年12月30日顺利通过IETP认证审核
-
热烈祝贺中山***运动制品有限公司,于2021年12月30日顺利通过SCSA认证审核
-
热烈祝贺东莞市***电子有限公司,于2021年12月30日顺利通过FCCA认证审核
-
热烈祝贺湛江***水产实业有限公司,于2021年12月30日顺利通过Kroger验厂审核
-
热烈祝贺东莞市***电子科技有限公司,于2021年12月28日顺利通过CTI人权验厂审核
-
热烈祝贺东莞市***电子科技有限公司,于2021年12月27日顺利通过CTI品质验厂审核
-
热烈祝贺***(越南)科技有限公司,于2021年12月27日顺利通过RBA验厂审核
-
热烈祝贺***科技股份有限公司,于2021年12月24日顺利通过SMETA-4P认证审核
-
热烈祝贺广州***首饰有限公司,于2021年12月24日顺利通过SMETA-4P认证审核
深圳市潜龙企业管理咨询有限公司
9) 管理者授权isms的实施和运行;
10) 准备适用性声明。
4. 完成所需要的isms文件
isms文件是isms的主要要素,既要与iso/iec 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,isms文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是iso/iec 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-iso/iec 27001:2005,但必须按照isms文件的要求执行工作。
(1) isms文件的类型
根据iso/iec 27001:2005标准的要求,isms文件有三种类型。
1) 方针类文件(policies)
方针是政策、原则和规章。主要是方向和路线上的问题,包括:
a) isms方针(isms policy);
b) 信息安全方针(information security policy)。
其中,isms方针是信息安全方针的父集。即在isms方针的框架下,组织可根据实际需要,制定其它重要领域的具体的信息安全方针。例如,可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。
2) 程序类文件(procedures)
“程序文件”有时又称作“过程文件”,包含着为达到某个特定目的,而对一系列活动(或过程)的顺序进行控制。有输入-处理-输出。所产生的输出通常是“记录”。
3) 记录(records)
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。
4) 适用性声明文件(statement of applicability, 简称soa)
iso/iec 27001:2005标准的附录a提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施isms的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。
(2) 必须的文件
“必须的isms文件”是指iso/iec 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求isms文件必须包括9方面的内容:
1) isms方针
isms方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。
2) isms的范围
3) 支持isms的程序和控制措施;
4) 风险评估方法的描述;
5) 风险评估报告;
6) 风险处理计划;
7) 控制措施有效性的测量程序;
8) 本标准所要求的记录;
9) 适用性声明。
在实际工作中,上述内容经过归纳和整理后,可用以下文件表示:
1) isms方针文件,包括isms的范围;
2) 风险评估程序,包括“风险评估方法的描述”,而其运行的结果产生《风险评估报告》。
3) 风险处理程序,运行的结果产生《风险处理计划》。
4) 文件控制程序;
5) 记录控制程序;
6) 内部审核程序;
7) 纠正措施与预防措施程序;
8) 控制措施有效性测量程序
9) 管理评审程序
10) 适用性声明
(3) 任意的文件
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的任意的文件(discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:
1) 组织的业务活动及风险;
2) 安全要求的严格程度;
3) 管理的体系的范围和复杂程度。
这里,需要特别提出的是,isms的特点之一是风险评估和风险管理。组织需要哪些isms文件及其复杂程度如何,通常可根据风险评估决定。如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。
(4)文件的符合性
isms文件的符合性包括符合相关法律法规的要求、符合iso/iec 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此:
1) 参考相关法律法规要求和标准要求
在编写isms文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写isms方针时,要参考iso/iec 27001 “4.2.1b) 定义isms方针”;编写适用性声明时,要参考iso/iec 27001 “4.2.1 j) 准备适用性声明”;编写文件控制程序时,要参考iso/iec 27001 “4.3.2文件控制”等等。
2) 文件化本组织的最好实践
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。
3) 保持一致性
a) 同一个文件中,上下文不能有不一致(或矛盾)的地方
b) 同一个体系的不同文件之间不能有矛盾的地方
c) 不同体系的文件之间不能有不一致的地方
如果组织同时运行多个管理体系,例如质量管理体系(qms)、环境管理体系(ems)和isms等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。
更多iso/iec 27001信息请关注潜龙认证咨询
